Gegen öffentliche Stellen können in wichtigen Ausnahmefällen Datenschutz-Bußgelder verhängt werden
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat dies jüngst mit der Verhängung eines Bußgelds gegen eine gesetzliche Krankenversicherung in Höhe von 1.240.000,- Euro eindrucksvoll unter Beweis gestellt. Dabei sind öffentliche Stellen und Behörden nach dem Gesetz eigentlich weitestgehend vor Bußgeldern der Datenschutzbehörden geschützt. Nur in einem Bereich müssen die öffentlichen Stellen besonders aufpassen.
Grundsatz: Keine Verhängung von Bußgeldern gegen öffentliche Stellen
Gemäß Art. 83 Abs. 7 DSGVO kann jeder Mitgliedstaat der EU gesetzlich festlegen, ob und in welchem Umfang Bußgelder gegen Behörden und öffentliche Stellen verhängt werden können. § 43 Abs. 3 BDSG bestimmt, dass gegen Behörden und sonstige öffentliche Stellen des Bundes keine Bußgelder verhängt werden. Entsprechende Regelungen finden sich in zahlreichen Spezialgesetzen. So darf z.B. gem. § 85a Abs. 3 SGB X auch im Rahmen von Datenverarbeitungen im Anwendungsbereich des SGB X gegen Behörden und öffentliche Stellen der Sozialverwaltung keine Geldbuße verhängt werden. Auch den landesrechtlichen Bestimmungen zum Datenschutz ist überwiegend zu entnehmen, dass die Befugnis zur Verhängung von Bußgeldern gegenüber Behörden und öffentliche Stellen eines Bundeslandes nur eingeschränkt erteilt wird.
Ausnahme: Wettbewerbshandeln
Handelt die öffentliche Stelle hingegen als Unternehmen im Wettbewerb, gibt es keinen Grund, die öffentliche Stelle besonders zu privilegieren. Im Gegenteil: Sie muss sich an dem messen lassen, was auch für die Privatwirtschaft gilt. Für den Bund findet sich die entsprechende Regelung in § 2 Abs. 5 BDSG. Auch die Länder kennen vergleichbare Regelungen (vgl. z.B. für den Freistaat Sachsen die Regelung in § 19 Abs. 3 SächsDSDG.
Wann aber liegt Wettbewerbshandeln vor?
Nehmen Behörden oder sonstige öffentliche Stellen also als Unternehmen am Wettbewerb teil, können sie mit Bußgeldern sanktioniert werden. Damit stellt sich für die öffentlichen Stellen, ihre Leitung, ihr Datenschutzmanagement und natürlich ihre Datenschutzbeauftragten die wesentliche Frage, wann ein solches Wettbewerbshandeln vorliegt. Hierzu muss nach unserer Rechtsüberzeugung im Einzelfall geprüft werden, ob die öffentliche Stelle noch in dem ihr gesetzlich zugewiesenen Aufgabenkreis handelt oder nicht. Verlässt sie danach diesen gesetzlichen Aufgabenkreis, handelt sie wie ein privates Unternehmen im freien Wettbewerb und darf in diesem Fall nicht besser gestellt werden, als ihre Mitbewerber.
Beispiel: Veranstaltung eines Gewinnspiels durch gesetzliche Krankenversicherung
So verhängte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg im eingangs beschriebenen Fall das Millionenbußgeld gegen eine öffentlich-rechtlich organisierte Krankenkasse, welche Gewinnspiele veranstaltete und die hierbei erhobenen Teilnehmerdaten nicht datenschutzkonform verarbeitete. Das ist in der Sache richtig und rechtlich konsequent. Die Veranstaltung von Gewinnspielen liegt bekanntlich nicht im gesetzlichen Aufgabenkreis.
Praxistipp:
Auf das eingangs dargestellte Bußgeldprivileg des § 43 As. 3 BDSG und seine spezialgesetzlichen wie landesrechtlichen Entsprechungen dürfen sich öffentliche Stellen nicht blindlings verlassen. Inwieweit ein Bußgeldprivileg tatsächlich angenommen werden darf, kann nur nach sorgfältiger rechtlicher Prüfung der jeweiligen Verarbeitungstätigkeit beurteilt werden. Dabei kommt es maßgeblich darauf an, ob die Verarbeitung noch im gesetzlichen Aufgabenkreis der Behörde oder sonstigen öffentlichen Stelle liegt. Im Rahmen der Einzelfallprüfung sind auch die einschlägigen Landesvorschriften sowie die Entscheidungspraxis der zuständigen Aufsichtsbehörde zu berücksichtigen.
Gerne stehen wir Ihnen hierbei unterstützend zur Seite.
Ihre Ansprechpartner in unserem Büro Dresden für diesen Bereich sind:
Geschäftsführender Partner, Rechtsanwalt und Fachanwalt für IT-Recht, Richter am Verfassungsgerichtshof des Freistaats Sachsen
Partnerin, Rechtsanwältin und Fachanwältin für IT-Recht, Fachanwältin für Urheber- und Medienrecht, TÜV SÜD zertifizierte Datenschutzbeauftragte
Geschäftsführender Partner, Rechtsanwalt und Fachanwalt für Gewerblichen Rechtsschutz, Fachanwalt für IT-Recht, TÜV SÜD zertifizierter Datenschutzbeauftragter
Autor: Wiebke Dammann, LL.M. (IP Law)
Rechtsanwältin
Fachanwältin für IT-Recht
Angestellte Rechtsanwältin bei esb Rechtsanwälte Strewe & Partner mbB
Veröffentlicht am 08.09.2020
unter #Datenschutz, #IT-Recht
Ähnliche Themen:
- Aktuelles Urteil des EuGH: Haftung des Verantwortlichen aus Art. 82 DSGVO für weisungswidrige Handlungen der Mitarbeitenden?
- Darf die KI im Hintergrund Nutzerdaten zu Trainingszwecken sammeln?
- Schmerzensgeld für Cyberangriffe?
- Prozessvorbereitende Ausforschung durch Auskunftsansprüche nach Art. 15 DSGVO?
Thema suchen:
Nach Kategorie filtern: